2016年インドネシア個人情報保護規制の強化について

2016年12月、個人情報保護を強化するため、インドネシア政府の情報通信省(The Minister of Communication and Informatics – MOCI)が新しい規制をリリースしました。(Regulation Number 20 in 2016)
規制のオリジナルの内容はこちらです。

この規制はリリースされたタイミングで有効になりますが、規制内容の実際実行については2年間の猶予期間が設けられています。
補足:2016年12月にリリース、内容の実際実行は2018年12月になります。

Indonesia Personal Data Protection Regulation No.20 2016 Execution Timing

Indonesia Personal Data Protection Regulation No.20 2016 Execution Timing

個人情報について、下記二つの概念が定義されているようです。

  • Personal Data: Certain individual data which is stored, maintained and kept accurate and the confidentiality of which is protected.(個人情報:機密性のある正確的に保存、維持、保護されている特定の個人情報。)
  • Certain individual data: True and actual information that is attached to and identifiable towards, directly or indirectly, an individual.(特定の個人情報:直接もしくは間接的に特定の個人を特定できる真実の情報。)

規制を守らない場合、下記の罰則が設けられています。
行政処分:口頭警告、文書警告、一時的に業務停止処分、処分情報の公開(政府ウェブサイトなど)

この規制の内容は基本的な方針や大枠の項目しか定めていなくて、より具体的な内容はこれからの2年間の猶予期間内に徐々明確になっていく想定です。

下記の表で規制の要件まとめてみました。

 プロセス(Process)  主な要件(Main Requirements)
 データの獲得と収集
  •  データの獲得と収集目的を明確にする必要がある。その目的をデータの収集フォームに明記する必要がある。
  • データの持ち主は(a)収集されるデータは機密情報かどうかを決めることができ、(b)データの編集、追加、更新することができる。
  • システムの所有者は該当システムを運用するケーパビリティを有し、データの互換性を担保し、利用するソフトウエアも合法的なものである。(海賊版ではない)
  • 収集されるデータの正確性を担保する必要がある。
 データの処理と分析
  •  データの処理と分析はデータ所有者の同意範囲内の内容のみ行うことが可能とする。
  • 処理と分析の対象データん正確性を担保する必要がある。
データの保存
  • 保存するデータを暗号化する必要がある。
  • データの保持期間は最低5年間とする。
  • 「公共サービス」を提供する業者はオンシェアデータセンターと災害復旧センターで運用する必要がある。
  • 保存しているデータの正確性を担保する必要がある。
データの表示、発表、転送、拡散、アクセスの提供
  •  左記の処理を全てデータ持ち主の同意を得る必要がある。
  • 海外へのデータ転送はインドネシア政府の情報通信省(MOCI)と調整する必要がある。(計画報告、転送結果報告、同意取得など)
  • 法執行機関からの法律や規定に基づいて、法執行の目的で個人データへのアクセスを要求することが可能とする。
  • 左記の処理の対象データの正確性を担保する必要がある。
 データの削除
  • 下記いずれの条件を満たしている場合、データの削除を可能とうする。(a)データ保持期間を過ぎた場合、(b)データの持ち主が要求される場合。
  • データを削除する場合、電子バージョンと非電子バージョンのデータを全て削除する必要があり、データ持ち主再度同意を得るまで削除されたデータがどこにても表示されないことを担保する必要がある。

上記以外、下記の追加要件も対応する必要があります。

要件分類 要件
情報漏洩 情報漏洩発生する場合、システム運用会社は迅速的に書面でデータ持ち主に通知する必要がある。
通知の要件について

  • 情報漏洩の理由または原因を含む必要がある。
  • 電子方式でデータ持ち主に通知することが可能。(データ収集時同意を得た場合)
  • 情報持ち主に損失を起こせる可能性がある場合、通知が情報持ち主に必ず届くことを担保する必要がある。
  • 情報漏洩検知してから14日以内に通知する必要がある。
システム提供者の資格  システム提供者は政府の認定資格を取得する必要がある。
※2017年7月10日時点で、どのような資格を取得する必要があるかまだ明確になっていない。
Right to be Forgotten  個人情報データの保護が失敗する場合、データ持ち主もしくはシステム提供者が情報通信省(MOCI)に相手にクレームを出すことが可能。意図としては、裁判以外の手段でこのような状況を処理することを可能にすることである。(交渉または仲裁などの手段)

上記の要件に基づいて、2018年12月までに、システムもしくは会社ポリシーの検討・対応する必要があります。

詳解 インドネシアの法務・会計・税務

新品価格
¥4,104から
(2017/8/21 11:18時点)